¿Cuáles son los diferentes tipos de problemas, peligros y amenazas a la seguridad de un sitio web y qué puede hacer que su empresa y sitio web sean un blanco atractivo y vulnerable? Muchas pequeñas empresas piensan que no representan un objetivo importante para los atacantes. Sin embargo, aquí le demostraremos que esta hipótesis es totalmente incorrecta. Todos los emprendimientos en línea se enfrentan a una variedad de peligros y amenazas que deben comprenderse y evaluarse.

Tipos de amenazas a la seguridad

Las amenazas a la seguridad evolucionan tan rápido como la tecnología que intentan comprometer.

Mientras que las técnicas usadas para acceder a datos y modificar código varían considerablemente, por lo general una infracción de seguridad tiene uno de los siguientes cuatro objetivos:

• Acceso a bases de datos y robo o corrupción de datos personales o confidenciales
• Modificar el código de un sitio web con el fin de cambiar lo que los usuarios ven
• Interceptar datos personales y confidenciales
• Ataques de denegación de servicio (DoS) que deshabilitan la disponibilidad de los servicio

La motivación de los hackers y el porqué de los ataques a la seguridad

Los motivos de los hackers para atacar un sitio web van desde obtener información muy específica, a facilitar un ataque para un objetivo mayor y el desafío de poder alterar un sitio web bastante conocido o protegido. Hay algunas cosas que pueden estimular un ataque a la seguridad, y las exponemos aquí. Si usted es una PYME y piensa que esto solo le sucede a grandes corporaciones, piénselo de nuevo.

Datos e información valiosa

Cuanto más valiosa sea la información en su base de datos, mayores serán las probabilidades de que la información sea blanco de ataques. Si sus registros consisten en información confidencial o financiera que podría facilitar el fraude, su base de datos será más atractiva para hackers que puedan utilizar o vender esta información para obtener beneficios económicos. Con el objetivo de proteger a los consumidores contra este tipo de amenaza, los comercios electrónicos y otros sitios web que cobran créditos y pagos por clientes, deben ser compatibles con PCI (Industria de Tarjetas de Pago).

Recuerde que hasta sus datos personales básicos también pueden ser de valor. Sus datos pueden usarse para usurpar la personalidad de alguien, difundir malware o simplemente como un medio de alterar sus servicios por motivos personales.

Espionaje industrial y político

La información en sus bases de datos o servidores de su empresa puede no resultar útil para defraudadores, pero puede ser muy útil para empresas, industrias o hasta gobiernos relacionados con su compañía o que compiten con usted. Los datos o nombres de usuario y contraseñas robadas pueden darle acceso a alguien a las cuentas y los datos de sus clientes, o a la inteligencia, archivos o correos electrónicos confidenciales de su organización.

Según lo informado por Bloomberg:

“China ha hecho del espionaje industrial una parte integral de su política económica al robar secretos industriales para tratar de pasar por encima los EE.UU. y otros competidores extranjeros, todo para seguir su objetivo de convertirse en la mayor economía mundial. Esto han concluido los funcionarios de inteligencia estadounidense en un informe publicado el mes pasado”.

Usted podría ser víctima del espionaje o robo si su elemento diferenciador o ventaja competitiva, o incluso su ventaja de llevar la iniciativa o una campaña que quiere mantener en secreto están ligados a su inteligencia propietaria o código.

Cómo convertirse en un blanco fácil

El escaneo automático de vulnerabilidades, junto con las interacciones sociales cada vez más fragmentadas entre las empresas y sus clientes, significa que las pequeñas y medianas empresas que dedican menos recursos en la lucha contra los ataques, representan un volumen cada vez más alto de blancos cada vez más fáciles. De acuerdo con el sitio Symantec.com, los ataques dirigidos a pequeñas empresas constituyeron el 31% de todos los ataques a la seguridad en el 2012, en lugar del 18% del año anterior.

Los Escáneres de Vulnerabilidades en Aplicaciones Web escanean sitios web para encontrar configuraciones inseguras de servidores y otras vulnerabilidades de seguridad conocidas que facilitan ataques como XSS (ataques de secuencia de comandos en sitios web), inyecciones de SQL, ejecuciones de comandos, accesos a directorios y configuraciones inseguras del servidor. Si su sitio web tiene vulnerabilidades, es cada vez más probable que los hackers las identificarán y aprovecharán.

A medida que la comunicación aumenta a través de los medios sociales, los consumidores se han venido acostumbrando a recibir mensajes de remarketing y CRM de empresas a través de una gama de medios sociales, que a menudo ofrecen cupones, descuentos y otros incentivos. Esto hace que las estafas de phishing (la suplantación de identidad de una organización para obtener información personal y financiera, o para difundir malware) sean más populares que nunca para presuntos atacantes.

Ataques “springboard”

Las pequeñas empresas tampoco son inmunes al espionaje. Las empresas con poca protección son cada vez más a menudo el trampolín (springboard) a ataques más importantes contra organizaciones más grandes de las cuales son proveedores.

Por ejemplo, un intruso podría robar información y archivos personales relacionados con uno de sus grandes clientes para crear un correo electrónico perfectamente diseñado y dirigido a un miembro de esta organización (esto se conoce como “ingeniería social”). Su sitio web o aplicación podría también usarse para facilitar la instalación de malware en las computadoras de una organización específica que se sabe utiliza el sitio o la aplicación. Esto se consigue al inyectar códigos en su sitio web para redirigir al usuario a un sitio diferente, que luego infecta la computadora de destino (lo que se conoce como un ataque watering hole).

Sin motivos económicos

No todos los hackers tienen motivos económicos. Un objetivo muy ambicioso para los hackers que atacan sitios web como deporte son los sitios con la mejor seguridad (como aquellos propios de expertos en seguridad de Internet). Del mismo modo, los sitios web de enemigos políticos o sociales pueden ser blancos populares.

Recientemente, el sitio recién lanzado de “Obamacare” no fue para nada ajeno a ataques de seguridad por parte de sus detractores. Los bancos son blancos comunes de anticapitalistas y otras organizaciones. Y este artículo en darkreading.com contempla la posibilidad de ataques a gran escala durante períodos de mayor comercio electrónico, a medida que más y más empresas están disponibles en la Web.

Cómo proteger su web?